Une nouvelle arnaque au QR code qui peut vider votre compte en quelques minutes
Recevoir une carte bancaire toute neuve dans sa boîte aux lettres, avec le logo de sa banque et un QR code à scanner pour l’activer, peut sembler normal. Cependant, cette scène cache une fraude récente mise en place par des cybercriminels. Ces arnaqueurs placent des QR codes frauduleux dans les boîtes aux lettres pour voler vos identifiants et accéder directement à votre compte bancaire.
Une généralisation des arnaques via QR codes
Les QR codes sont désormais omniprésents : dans les menus de restaurants, sur des bornes de recharge, dans les relais colis ou pour des démarches en ligne. On les scanne souvent sans trop y réfléchir pour payer, télécharger un document ou confirmer une opération. Mais cette pratique facilite aussi les escroqueries. La Banque de France et le service public Ma Sécurité évoquent désormais ce qu’ils nomment le quishing, un phishing via QR code. La ruse repose sur quelques carrés noirs placés stratégiquement.
Comment fonctionne l’arnaque au QR code
Les fraudeurs fabriquent leur propre QR code, qu’ils collent à la place d’un vrai sur une table de restaurant, un horodateur, une borne ou même un faux avis de passage. En le scannant, vous arrivez sur un site qui imite celui d’une organisation légitime, avec logo et couleurs identiques. Par exemple, une campagne frauduleuse avait utilisé un faux courrier Amazon proposant de « tester un nouveau produit » gratuitement pour récolter vos données.
Ces sites frauduleux demandent souvent vos identifiants, mots de passe, codes reçus par SMS ou encore les numéros complets de votre carte bancaire. Ils vous promettent de finaliser un paiement ou de confirmer un dossier. L’Institut national de la consommation, la Gendarmerie nationale et Ma Sécurité recommandent de toujours vérifier l’adresse du site après un scan. Si celle-ci ne correspond pas au nom de domaine officiel, il vaut mieux ne rien saisir et contacter sa banque.
Faux courriers et fausse carte bancaire : de nouveaux scénarios d’arnaque
Un autre scénario inquiétant concerne la carte bancaire elle-même. Selon 01net, certains particuliers reçoivent une lettre aux couleurs de leur banque, avec un logo et une mise en page crédibles, accompagnée d’une carte en plastique sans nom ni numéro valable. La lettre affirme que cette « nouvelle carte plus sûre » doit être activée en scannant un QR code en bas de page.
En scannant ce QR code, la victime est dirigée vers un site qui ressemble à l’espace client de sa banque, avec le même logo et les mêmes couleurs. La page demande alors des identifiants, un mot de passe, des codes SMS ou encore les numéros de carte. Les escrocs utilisent ensuite ces informations pour se connecter et effectuer des virements. 01net précise qu’aucune banque n’envoie une carte non commandée à activer via QR code ou lien dans une lettre. En cas de doute, il faut ignorer le courrier et contacter sa banque par les canaux habituels.
Les conseils pour éviter les arnaques au QR code
Les mêmes précautions s’appliquent face aux faux messages concernant la carte Vitale, qui annoncent par exemple que « votre carte Vitale 2026 est prête à être expédiée » ou qu’une nouvelle carte est disponible, incitant à « commander » une carte. Or, la carte Vitale est gratuite et n’a pas de date d’expiration. Selon Pierre Piveteau, responsable de la plateforme CyberVeille, « il n’y a pas de date d’expiration pour une carte Vitale ! »
Pour se protéger, il est recommandé de :
- Inspecter le QR code et son support. Vérifier si l’autocollant a été rajouté ou si l’alignement semble étrange.
- Vérifier l’adresse affichée après le scan. Si elle diffère du site officiel ou demande des coordonnées bancaires, il faut fermer immédiatement et contacter sa banque. Il est aussi conseillé de signaler l’incident sur Cybermalveillance.gouv.fr ou internet-signalement.gouv.fr.
About The Author
